// cookie 和 token 都存放在 header 中，为什么不会劫持 token？

// xss: 用户通过各种方式将恶意代码注入到其他用户页面中，就可以通过脚本获取信息，发起请求之类的操作
// CSRF: 简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的

// 1、首先token不是防止XSS的，而是为了防止CSRF的；
// 2、CSRF攻击的原因是浏览器会自动带上cookie，而浏览器不会自动带上token

// 以上面的csrf攻击为例：

// cookie：用户点击了链接，cookie未失效，导致发起请求后后端以为是用户正常操作，于是进行扣款操作。
// token：用户点击链接，由于浏览器不会自动带上token，所以即使发了请求，后端的token验证不会通过，所以不会进行扣款操作。
